活动目录组策略1.pptVIP

组策略 主要内容 8.1 组策略概述 8.2 组策略对象 8.3 管理模板策略的设置 8.4 账户策略的设置 8.5 本地策略的设置 8.6 登录/注销、启动/关闭脚本 8.7 部署应用程序 8.1 组 策 略 概 述 组策略就是修改注册表中的配置。 组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 组策略可以针对站点、域和组织单位设置。这些组策略的数据存储在活动目录内（域控制器“%systemroot%\SYSVOL\sysvol\域名\Policies”目录下）。 8.1.1 组策略简介 计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有计算机。 用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有用户。 本地组策略: 它是针对每一台Windows 2000 Serve所进行的设置。本地组策略数据存储在本地计算机的“%systemroot%\system32\GroupPolicy” 目录内，只针对本地计算机和本地用户。 8.1.2 组策略的应用顺序与规则 如果在本地计算机、站点、域和组织单位内分别设置了组策略，则这些组策略的应用顺序为： 本地组策略（即本地安全策略，存储在本地计算机内）； 站点的组策略； 域的组策略； 组织单位的组策略（后3项的数据存储在活动目录内）。 具体的应用规则说明如下: （1）如果在父容器内建立了一个组策略，但是并未在子容器建立组策略，则子容器会继承在父容器内所建立的组策略。 （2）如果另外在子容器内建立了组策略，在默认情况下子容器的组策略则要取代父容器的组策略。 （3）如果父容器未被设置组策略，则子容器不会继承父容器的组策略。 （4）如果父容器设置了组策略，但是子容器内的组策略并未设置，则子容器会继承父容器的组策略。 存在这样一些机制：用户可以强制继承或阻止组策略对象影响用户组和计算机组，这可以通过“禁止替代”和“阻止策略继承”的设置来实现。 特别要指出的是，组策略不影响安全组。但是可以使用安全组来过滤组策略，也就是改变它的范围。 8.1.3 组策略的继承 一、阻止组策略继承 在子容器组策略内，可以通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容器的组策略为其设置。 二、强迫继承策略 在父容器的组策略内，可以通过“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置，而不管子容器的组策略内是否设置了“阻止策略继承”，即“强迫继承”策略的优先级要高于“阻止策略的继承”。 8.1.4 组策略和AD GPO是一种与域、地址或组织单元相联系的物理策略，GPO包括文件和AD对象，要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Windows Server 2003服务器和工作站都可以采用它。 访问本地GPO的方法: MS-DOS命令窗口：gpedit.msc MMC控制台中选择GPO插件 8.2 组策略对象 一、根据不同的计算机，设置不同的组策略 1．域控制器 开始→程序→管理工具→域控制器安全策略 2．成员服务器、独立服务器 控制面板→管理工具→本地安全策略 3．Windows XP/2000 Professional 控制面板→管理工具→本地安全策略 二、利用“Active Directory用户和计算机”设置组策略 8.2.1 更改组策略 在默认情况下，只有某些组内的用户账户（如administrators组内的账户）才可以在域控制器上登录，而一般用户无法在域控制器上登录。 8.2.2 测试“在本地登录”策略是否正常 策略设置好后，并不是立即生效，因为针对域所设置的策略，此域内的计算机（包括域控制器）往往并不会立即读取到此策略。为了使设置的组策略能够在某台计算机上生效，必须利用以下3种方式之一来达到目的。 8.2.2 测试“在本地登录”策略是否正常 一、使组策略生效 运行命令： Secedit/Refreshpolicy machine_police Secedit/Refreshpolicy user_police 重新启动/注销计算机 等待此策略应用到计算机 测试组策略的效果 ?利用administrator账号登录 ?“开始” ?“程序” ?“管理工具” ?“Active Director